FYI.

This story is over 5 years old.

Falschgeld leicht gemacht

Warum viel Zeit mit der Geldfälschung verschwenden, wenn es doch viel einfacher ist, die Maschine zu hacken, die die Scheine überprüft?
4.11.13

Foto: Flickr/Tristan Schmurr

Die Herstellung von Falschgeld muss nicht unbedingt auf clever manipulierte Nachahmung mit Wasserzeichen und Hologrammen hinauslaufen. Trotz der hochentwickelten Sicherheitssysteme auf heutigen Geldscheinen, bleibt das Geld doch nur so glaubwürdig wie die Maschine, die es überprüft.
Und genau das hat Rüben Santamara, eine spanischer Forscher des Computersicherheitsunternehmens IOActive beweisen, indem er ein Gerät zur Geldprüfung gehackt hat. Er brachte die handelsübliche Maschine tatsächlich dazu einfache Papierblätter als Euroscheine zu akzeptieren.

In einem Blog Beitrag auf der IOActive Webseite, erklärt Santamarta, wie er die  Betriebs-Software des Secureuro Gerätes modifiziert. Die kleine Maschine ist allgemein verbreitet zur Authentifizierung von Scheinen in Geschäften und Büros.
„In Spanien haben wir ein Sprichwort: Hecha la ley, Hecha la trampa. Das bedeutet, dass es immer einen Weg geben wird um eine Restriktion zu umgehen." schreibt Santamarta. „Im Grunde genommen ist es ziemlich genau das, worum es beim Hacken geht."

Santamarta beschreibt anschließend seine Eingriff ziemlich detailliert, wobei er betont, nichts verraten zu haben, welches möglichen Fälschern helfen könnte die Machine auszutricksen „wie sie jetzt ist", oder tatsächlich zur Fälschung einer Banknote führen könnte. „Mein einziges Ziel ist es zu erklären, wie ich den Code hinter der Prüfung identifizieren konnte, um daraus meine meine kompromittierte Betriebssoftware zu entwickeln, mit der ich sogar einen einfachen Papierzettel als gültige Währung tarnen konnte." erklärt er. „Wir nutzen keine Schwachstelle in dem Gerät aus, sondern ein ‚Design Feature' der Maschine," fügt er mysteriös hinzu.

Der erste Schritt war natürlich die Recherche. Santamatra fand Manuelle und YouTube Anleitungen, die zeigten, wie der Secureuro funktioniert und lud die Firmware direkt von der Webseite der Firma, die die Geräte verkauft. Er analysierte den Code und fand den Punkt, wo die Nummer von ungültigen Banknoten gezählt wurde. Als er noch ein bisschen weiter forschte, stiess er auf die Funktion, die den Wert eines Scheines aufgrund seiner Sicherheitsmerkmale bestätigte - ein Hologramm-Streifen für 5€, 10€ oder 20€, und ein Hologramm-Fleck für 50€, 100€, 200€ und 500€ Scheine.

Er kaufte sich dann ein Gerät und benutzte seine Erfahrungen, von der Modifikation der Firmware, so dass diese seine hauseigene „IOActive Währung“ (ein Stück Papier mit handgeschriebenen Nummern und einem gekrizelten Schädel) akzeptiert. Im Video zeigt er, wie das Secureuro Gerät einen seiner Scheine als einen echten 100€ Schein erkennt.

Wenn es also keine strengeren Sicherheitsmaßnahmen gibt, dann kann jeder sich Zugang zu Geräten wie diesen verschaffen, und versuchen seine primitiv gefälschten Scheine als echte durchgehen lassen. Und ich habe da so einen leisen Verdacht, dass es da draußen Leute gibt, die so etwas machen – und zwar mit einem anderen Ansatz als Santamarta mit seinem „aus Spaß und Non-Profit.“